Incydent ujawnienia danych rodziców i dzieci z miejskich żłobków w Łodzi to przykład realnego zagrożenia, z którym możesz spotkać się w każdej instytucji publicznej. Nie doszło tu do zaawansowanego ataku. Wystarczył błąd aplikacji i brak kontroli nad środowiskiem, w którym przetwarzano dane osobowe. Publicznie dostępne pliki PDF z umowami, numery PESEL w nazwach plików i niezabezpieczone endpointy pokazują, że problem leży głębiej niż w jednej linijce kodu. To historia o braku procedur, nadzoru i odpowiedzialności po stronie zamawiającego system. Jeśli odpowiadasz za IT w urzędzie, szkole, żłobku lub jednostce podległej samorządowi, ten przypadek powinien uruchomić u ciebie kontrolkę ostrzegawczą. Taki scenariusz może wydarzyć się także u ciebie, nawet jeśli system działa i nikt nie zgłasza problemów.

 

Rys.1 Grafika „dane osobowe” Źródło: Designed by Freepik

Co dokładnie wyciekło i dlaczego to groźne.

Jak podaje niebezpiecznik.pl publicznie dostępny katalog zawierał ponad 4900 umów i aneksów w formacie PDF. Dokumenty obejmowały imiona i nazwiska rodziców, numery PESEL, adresy zamieszkania i numery telefonów. W nazwach plików znajdowały się numery PESEL dzieci. Inne endpointy aplikacji ujawniały dane o diecie, imiona i nazwiska dzieci oraz ich adresy. Taki zestaw informacji pozwala na profilowanie rodzin, ocenę sytuacji zdrowotnej dziecka lub ustalenie struktury rodziny. To dane wysokiego ryzyka w rozumieniu RODO. Według raportu ENISA z 2024 roku sektor publiczny odpowiada za ponad 20 procent zgłoszonych naruszeń danych w Unii Europejskiej. Najczęstsza przyczyna to błędy konfiguracyjne i brak kontroli dostępu.

Aplikację rozwijano we współpracy z Politechniką Łódzką. Dane trafiły na serwer uczelni. To sygnał alarmowy. Jeśli przekazujesz dane osobowe podmiotowi zewnętrznemu, musisz mieć podpisaną umowę powierzenia przetwarzanych danych. Powinieneś wiedzieć, gdzie fizycznie i logicznie znajdują się dane. Musisz wymagać testów bezpieczeństwa przed uruchomieniem systemu produkcyjnego. Brak wiedzy o lokalizacji danych i poleganie na tym, że mało osób zna adres systemu, to podejście skrajnie nieprofesjonalne.

Z relacji na niebeizpiecznik.pl wynika, że pierwsze próby kontaktu z Inspektorem Ochrony Danych zakończyły się niepowodzeniem. Numer telefonu nie działał. To narusza podstawowe obowiązki administratora danych. RODO wymaga realnej dostępności IOD. Opóźniona reakcja zwiększa ryzyko masowego pobrania danych. Nawet po usunięciu indeksu katalogu pliki nadal pozostawały dostępne. To klasyczny błąd polegający na gaszeniu objawów zamiast przyczyny. Jako informatyk musisz dbać o procedurę reagowania na incydenty i testować ją regularnie.

Co może zrobić informatyk w JST?

Zacznij od audytu dostępności zasobów. Sprawdź, czy serwery WWW nie udostępniają list katalogów. Zweryfikuj, czy API wymaga autoryzacji i czy logujesz próby dostępu. Przeanalizuj nazewnictwo plików i strukturę danych. Nigdy nie umieszczaj identyfikatorów takich jak PESEL w nazwach plików ani w adresach URL. Sprawdź, czy posiadasz aktualne umowy powierzenia danych z każdym wykonawcą systemu. Przetestuj dane kontaktowe do IOD i procedurę zgłaszania incydentów.

Jakie zabezpieczenia możesz wdrożyć aby poprawić bezpieczeństwo.

Wymuś uwierzytelnianie i autoryzację. Stosuj zasadę minimalnych uprawnień. Włącz szyfrowanie danych w spoczynku i w transmisji. Skonfiguruj nagłówki bezpieczeństwa na serwerach HTTP. Regularnie wykonuj testy penetracyjne i skany podatności. Monitoruj logi dostępu i ustaw alerty na nietypowe zachowania. Przeszkol pracowników technicznych i merytorycznych z podstaw ochrony danych. Według informacji UODO większość naruszeń zaczyna się od błędu człowieka, nie od ataku z zewnątrz.

Ten incydent pokazuje, że rola informatyka nie kończy się na utrzymaniu systemu. Odpowiadasz za realne bezpieczeństwo danych obywateli. Musisz zadawać trudne pytania dostawcom, wymagać dokumentacji i testów. Musisz reagować szybko i zdecydowanie. Brak reakcji lub pozorne działania mogą kosztować instytucję utratę zaufania i wysokie kary finansowe. W 2023 roku średnia kara administracyjna za naruszenie RODO w Polsce przekroczyła 250 tysięcy złotych. To argument, który powinien przemawiać także do kierownictwa, aby zapewnić odpowiednią liczbę specjalistów do monitorowania i wdrażania procedur cyberbezpieczeństwa.

Źródła:

• Niebezpiecznik; Dane dzieci i rodziców z kilku żłobków były dostępne publicznie,

• ENISA; Threat Landscape 2024

• UODO; Naruszenia ochrony danych osobowych – statystyki

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.